Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Форумы портала PHP.SU :: Версия для печати :: Проблема с выполнением запросов из инклюдов
Форумы портала PHP.SU » » Работа с СУБД » Проблема с выполнением запросов из инклюдов

Страниц (1): [1]
 

1. Albertino - 11 Сентября, 2011 - 15:06:03 - перейти к сообщению
Ситуация следующая:
Я подключаю удаленный file.php (те с другого сервака по http: include('http://domеn1.ru/file.php');) файл подключается нормально(в настройках все разрешено), но проблема в том что sql запросы которые в этом файле(file.php) не выполняются, те имеем след код
PHP:
скопировать код в буфер обмена
  1. mysql_connect(C_HOST, C_USER, C_PASS)
  2. or die("ERROR: Cannot Connect To Database.1");
  4. or die("ERROR: Cannot connect to Database.1");
  5.  
  6. include('http://domеn1.ru/file.php');// здесь идет обращение к БД
  7.  

file.php
PHP:
скопировать код в буфер обмена
  1. if (mysql_query('select * from table where 1=1')) echo 'sql_ok';
  2. else echo 'sql_no';

получаем результат "sql_no", в чем может быть проблема?
2. Мелкий - 11 Сентября, 2011 - 15:19:27 - перейти к сообщению
0) phpfaq.ru/debug
1) mysql_error
2) table - зарезервированное слово и, не будучи заключённым в обратные кавычки, в качестве имени таблицы или поля использоваться не может.
3. LIME - 11 Сентября, 2011 - 15:23:53 - перейти к сообщению
Albertino пишет:
where 1=1
это что за выборка? так можно?
выполняйте сначала запрос в phpmyadmin
4. White - 11 Сентября, 2011 - 15:31:22 - перейти к сообщению
LIME пишет:
это что за выборка? так можно?

можно, так не редко в sql инъекциях делают.
например
CODE (SQL):
скопировать код в буфер обмена
  1. WHERE `id`="" OR 1=1
, где " OR 1=1 и есть сама инъекция
5. LIME - 11 Сентября, 2011 - 15:33:52 - перейти к сообщению
White вкурил
спс
(Добавление)
но тут то)) уж проще вообще без условия тогда
(Добавление)
+ по совокупности всей даденой инфы))
6. Albertino - 11 Сентября, 2011 - 15:40:28 - перейти к сообщению
Мелкий, table я просто использовал как пример, да и сам запрос показан как пример(в действительности он намного сложнее).
sql запрос 100% рабочий и , если его выполнять не во включенном файле то все работает, а вот в во включенном не хочет
7. LIME - 11 Сентября, 2011 - 15:46:33 - перейти к сообщению
http://www.php.su/functions/?include пример в конце
включаемый файл выполняется на удаленном сервере
назовите его txt чтобы не запускался
8. Albertino - 11 Сентября, 2011 - 16:05:04 - перейти к сообщению
LIME пишет:
http://www.php.su/functions/?include пример в конце
включаемый файл выполняется на удаленном сервере
назовите его txt чтобы не запускался

переименование в техт помогло, но теперь другая проблема если в браузере вывести этот файл(http://domеn1.ru/file.txt), то там покажется весь код, а ведь там могут быть конфиденциальные настройки которые не должны быть доступны для просмотра просто так.
А если сделать подключение к базе в включенном файле по идее это должно помочь
9. LIME - 11 Сентября, 2011 - 16:10:56 - перейти к сообщению
настройте .htaccess на скрытие файлов txt
не помню как но можно настроить
типа соответствие расширения MIME типам кажется
(Добавление)
впринципе можно какугодно назвать
обычно inc обзывают
попробуйте может у вас уже настроено все на inc

 

Powered by ExBB FM 1.0 RC1